Security Lab

Раскрытие данных при импортировании CSS фалов в Microsoft Internet Explorer

Дата публикации:09.12.2005
Дата изменения:24.03.2009
Всего просмотров:2832
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 6.x
Уязвимые версии: Internet Explorer 6.0

Описание:
Уязвимость позволяет удаленному пользователю получить потенциально важные данные других пользователей.

Уязвимость существует из-за отсутствия достаточной защиты от чтения содержимого, импортированного с другого домена, CSS (Cascading Style Sheets). Удаленный пользователь может создать специально сформированную Web страницу и просмотреть часть содержимого другого web сайта с помощью DHTML свойства "cssText". Злоумышленник может загрузить документ с помощью директивы "@import" и получить доступ к его содержимому посредством JavaScript сценария.

URL производителя: www.microsoft.com

Решение: Установите последнюю версию с сайта производителя.

Источник:

Журнал изменений:
24.03.2009
Изменена секция "Решение"

Ссылки: Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information